InfoSecurity 2016 dag 2: gelaagde security modellen

“Het is ons duidelijk dat Endpoint Security afgelopen jaar een vlucht heeft genomen”

Op dag 2 van de InfoSec 2016 zijn YaWorks collega's Dave van der Zee en Dave  op zoek gegaan naar innovatieve ontwikkelingen in de markt of verbeteringen op bestaande producten. Zo kwamen wij in aanraking met verschillende partijen die zich bezighouden met endpoint security en niet zozeer met een netwerk an sich. Bij de eerste vendor waren wij nog sceptisch over dergelijke oplossingen, omdat netwerk engineers vaak van mening zijn dat security op het netwerk al goed geregeld zou moeten zijn. Daarbij zou een Anti Virus -oplossing (AV) op de endpoint dan de rest moeten doen. In combinatie met AV-producten embedded in bijvoorbeeld een firewall. 

Na een drietal producten bekeken te hebben zijn wij tot de conclusie gekomen dat er meer gaande is omtrent deze producten en dat standaard Anti Virus oplossingen vaak niet een complete oplossing zijn. Voorbeelden hiervan zijn situaties waarin malware, virussen enzovoort niet als file binnen komen, maar in delen en dus niet zo snel te identificeren zijn. Daarnaast zijn er diverse varianten malware die voornamelijk gebruik maken van al eerder geïnstalleerde software, zoals teamviewer (ook wel gedefinieerd als ‘living of the land’). Dit soort aanvallen doen vervolgens een clean-up van de initiële aanval en zijn daarna niet meer zichtbaar voor traditionele oplossingen.

Hackers zijn missie-gedreven

Ook al zou je in eerste instantie er in slagen om een aanval af te slaan dan kun je erop rekenen dat dezelfde aanvaller het opnieuw zal proberen. Een hacker is tegenwoordig missie-gedreven. Hiermee wordt bedoeld dat de hacker uit is op het stelen van informatie, het onklaar maken van systemen of juist controle krijgen op systemen. Hieronder een veel gebuikte model van een klassieke aanval (dit wordt ook wel kill-chain genoemd). Wanneer je naar een willekeurig traditioneel product kijkt dan zullen vele organisaties een hack vaak zo vroeg mogelijk willen identificeren en tegenhouden. Dit is vaak niet mogelijk aangezien er telkens geavanceerdere manieren worden bedacht om het doel te behalen. Indien dit dus gebeurt zijn niet alle producten goed in staat om de originele aanval terug te tracen naar het eerste point van entry in de IT-infrastructuur. 

Endpoint security heeft juist zicht op alle endpoints en kan behalve de ‘first affected host’ ook precies aantonen welke exploit is misbruikt. In dit geval heb je natuurlijk wel een zero-day patient en een issue, maar kun je met veel van deze end-point producten zeer snel een analyse maken van de gebruikte methoden en het entry point in de omgeving bepalen. Vervolgens kan er een policy gemaakt worden die aanvallen op de gehele omgeving tegen zullen houden. Als we terugkijken naar afgelopen jaar dan lijkt het erop dat de hoeveelheid endpoint security vendoren is toegenomen. Tevens zijn er vendoren zoals Cisco en Palo Alto die ook pas recent (1 à 2 jaar) bezig zijn met aanvullingen op hun bestaande portfolio zoals IPS/IDS.

Conclusie

Een duidelijke boodschap die moet doordringen is dat er niet alleen meer gekeken moet worden naar bepaalde type bestanden met de daarbij behorende fingerprint, maar dat de focus moet liggen op behaviour. Een voorbeeld van afwijkend gedrag; Een notepad.exe die een andere executable aanroept. Een gelaagd security model, waar ook op InfoSec veel over gesproken wordt, lijkt steeds verder uitgebreid te worden. Nu niet meer met voornamelijk geavanceerde netwerkmaatregelen, maar ook met vernieuwde endpoint security die collaboraties aangaat met netwerkelementen zoals switches. Met aanvullende maatregelen zoals de volledige logging doorsturen naar gecentraliseerde systemen zoals een Splunk, Logrythm, enzovoort. Het doel van deze nieuwe toepassingen is om op een snelle en gemakkelijk manier te kunnen alarmeren en onderzoek te kunnen doen naar cyber threads.

Expertises

Nieuws